Post on 18-Sep-2018
Contenido
............................................................................................................................................................................ 1
INTRODUCCIÓN ............................................................................................................................................ 3
I. RIESGOS OBJETO DE GESTIÓN EN COOPESERVIDORES ....................................................... 4
II. PRINCIPIOS DE LA GESTIÓN DE RIESGOS .................................................................................. 7
III. PRINCIPALES POLÍTICAS PARA LA GESTIÓN DE RIESGOS .............................................. 9
IV. AVANCES EN LA GESTIÓN DE RIESGOS ................................................................................ 12
Riesgos Financieros ....................................................................................................................... 12
Riesgos Operacionales .................................................................................................................. 13
Riesgos de Tecnologías de Información (TI) .................................................................................. 15
V. METODOLOGÍAS DE MEDICIÓN Y EVALUACIÓN DE LOS RIESGOS ................................. 16
Riesgo de Crédito .......................................................................................................................... 16
Riesgo de Mercado ........................................................................................................................ 17
Riesgo de Liquidez ......................................................................................................................... 19
Riesgo Operacional ........................................................................................................................ 19
Riesgo Legitimación ....................................................................................................................... 21
Riesgo de Tecnologías de Información (TI) ................................................................................... 21
VI. ACCIONES DE MITIGACIÓN Y CONTROL.............................................................................. 22
VII. LOGROS ALCANZADOS ............................................................................................................... 23
Riesgos Financieros ....................................................................................................................... 23
Riesgos Operacionales .................................................................................................................. 24
Riesgos de Tecnologías de Información (TI) .................................................................................. 25
Introducción
Como parte de las modificaciones que la Superintentendencia General de Entidades
Financieras (Sugef) realizó durante el año 2016 en la normativa que rige el funcionamiento
de los participantes del Sistema Financiero Nacional, y en aras de dar a conocer, tanto a
clientes como asociados y demás partes interesadas de las diferentes entidades, el nivel
de madurez y avances que cada una ha realizado en el tema de Gestión de los Riesgos a
los cuales están expuestas; en mayo del 2016 fue publicada, en el Diario Oficial La Gaceta,
una modificación en el Acuerdo Sugef 2-10, Reglamento sobre la Administración Integral
de Riesgos, en la que se incluyó el capítulo VII, que consta de un único artículo (artículo
20) que establece la obligatoriedad para que las diferentes entidades financieras elaboren
y publiquen un Informe Anual de Riesgos con corte a diciembre de cada año. Dicho
informe deberá divulgarse en el sitio web de cada entidad o en ausencia de este, en
cualquier otro medio de consulta pública, a más tardar, tres meses posteriores a la fecha
de corte establecida.
Los elementos que deben incorporarse en el informe mencionado, según la norma, son los
siguientes:
Enunciación de los riesgos objeto de gestión.
Resumen de los principios y principales políticas sobre la gestión de riesgos.
Acciones o avances en la implementación y mejoras en relación con la gestión de
sus riesgos relevantes.
Breve descripción de las metodologías dispuestas para la medición y evaluación de
los riesgos relevantes de la entidad.
Acciones de mitigación y control implementados.
Logros obtenidos.
Por tanto, y con el objetivo tanto de cumplir con lo estipulado en el Acuerdo Sugef 2-10,
como de informar a los asociados sobre los avances que en materia de Gestión Integral de
Riesgos ha experimentado COOPESERVIDORES se presenta a continuación el Informe
Anual de Riesgos, con corte al 31 de diciembre del año 2016.
I. Riesgos objeto de gestión en COOPESERVIDORES
Producto de la naturaleza del negocio de COOPESERVIDORES existe exposición inherente a diferentes tipos de riesgos, los cuales se gestionan a la luz de lo establecido por el Supervisor y, adicionalmente, adoptando principios internacionalmente definidos en lo que a gestión de riesgos respecta. Específicamente, la Cooperativa realiza gestión sobre los siguientes riesgos identificados:
1. Riesgos Financieros: se entiende por riesgo financiero la posibilidad de sufrir una pérdida de valor económico.
2. Riesgo de crédito: es la posibilidad de pérdidas económicas debido al incumplimiento de las condiciones pactadas por parte del deudor, emisor o contraparte. El riesgo de incumplimiento frente a una contraparte se define como la posibilidad de que una de las partes de una operación mediante instrumentos financieros pueda incumplir sus obligaciones. En tal caso, ocurriría una pérdida económica si las operaciones o la cartera de operaciones con dicha parte tuvieran un valor económico positivo en el momento del incumplimiento. A diferencia de la exposición de una entidad al riesgo de crédito a través de un préstamo o inversión, que es sólo unilateral para la entidad que otorga el préstamo o realiza la inversión,
Gestión Riesgos
Riesgos Operacionales
Riesgo Legal
Riesgo Ambiental
Riesgo Imagen
Riesgo Legitimación
Riesgo TI
Riesgos Financieros
Riesgo Crédito
Riesgos Mercado
Riesgo Tasas
Riesgo Tipo Cambio
Riesgo Liquidez
el riesgo de contraparte produce un riesgo de pérdida bilateral, pues el valor de mercado de la operación puede ser positivo o negativo para ambas partes, es incierto y puede variar con el tiempo a medida que lo hacen los factores de mercado subyacentes. Asimismo, cuando la entidad realiza préstamos e inversiones internacionales, también se encuentra expuesta al riesgo país y al riesgo de transferencia. La exposición al riesgo de crédito también puede incrementarse debido a movimientos en el tipo de cambio y las tasas de interés.
3. Riesgos de mercado: representan posibles pérdidas económicas sobre posiciones dentro o fuera del Balance originadas por movimientos adversos en los precios de mercado. Se distinguen los siguientes:
Riesgo de tasas: es la posibilidad de que ocurra una pérdida económica debido a variaciones adversas en las tasas de interés.
Riesgo de tipo de cambio: es la posibilidad de que ocurra una pérdida económica debido a variaciones en el tipo de cambio. Este riesgo también se presenta cuando el resultado neto del ajuste cambiario no compensa proporcionalmente el ajuste en el valor de los activos denominados en moneda extranjera, ocasionando una reducción en el indicador de suficiencia patrimonial.
4. Riesgo liquidez: Es la posibilidad de una pérdida económica debido a la escasez de fondos que impediría cumplir las obligaciones en los términos pactados. El riesgo de liquidez también puede asociarse a un instrumento financiero particular, y está asociado a la profundidad financiera del mercado en el que se negocia para demandar u ofrecer el instrumento sin afectación significativa de su valor.
5. Riesgo de TI: Consiste en la potencial pérdida económica, asociada con el uso, la propiedad, operación, participación, influencia, y la adopción de las tecnologías de información dentro de la organización. Se compone de eventos relacionados con TI que podrían afectar a la organización, esto incluye la frecuencia y el impacto y la creación de problemas en el cumplimiento de metas y objetivos estratégicos.
6. Riesgo Operativo: Es la posibilidad de que COOPESERVIDORES sufra pérdidas económicas debido a la inadecuación o a fallos de los procesos, el personal y los sistemas internos o bien a causa de acontecimientos externos. Esta definición incluye el Riesgo Legal y el Riesgo de TI, pero excluye el Riesgo Estratégico y el de Reputación.
Riesgo legal: Es la posibilidad de que COOPESERVIDORES sufra pérdidas económicas debido a la inobservancia o aplicación incorrecta o inoportuna de disposiciones legales o normativas, instrucciones emanadas de los organismos de control o como consecuencia de resoluciones judiciales, extrajudiciales o administrativas adversas, o de la falta de claridad o redacción deficiente en los textos contractuales que pueden afectar la formalización o ejecución de actos, contratos o transacciones.
Riesgo Ambiental: Es la posibilidad de que COOPESERVIDORES sufra pérdidas económicas o que se produzca un daño a su imagen, por relacionar sus negocios con actividades que puedan provocar un deterioro en el medio ambiente.
Riesgo de Imagen: Es la posibilidad de que COOPESERVIDORES sufra pérdidas económicas o deje de percibir ingresos, como consecuencia de un daño en la opinión que sus partes interesadas tengan sobre la forma como realiza sus negocios, sobre sus valores institucionales, los de sus Directores y sus Colaboradores.
Riesgo de legitimación: El riesgo de legitimación de capitales y financiación del terrorismo, es la posibilidad en que puede incurrir la cooperativa, por pérdida o daño al ser utilizada directamente o a través de sus productos o servicios, como instrumento para el lavado de activos y/o canalización de recursos como medio de financiamiento de actividades terroristas, o cuando se pretenda el ocultamiento de activos provenientes de dichas actividades. El riesgo de LC/FT se materializa a través de los riesgos asociados, estos son: el legal, reputacional y el operativo.
II. Principios de la Gestión de Riesgos
Para la administración integral de sus riesgos, COOPESERVIDORES se alinea a marcos de referencia establecidos tanto a nivel local como a nivel internacional. Puntualmente, la Gestión de Riesgos de la Cooperativa se basa en los siguientes marcos orientadores:
Normativas emitidas por el Consejo Nacional de Supervisión del Sistema Financiero (CONASSIF), por la Superintendencia General de Entidades Financieras (Sugef) y por el Banco Central de Costa Rica (BCCR).
Principios internacionales para la sana administración de riesgo en las instituciones financieras. Énfasis especial en las declaraciones emitidas por el Comité de Basilea y en el caso de la gestión de riesgos de legitimación de capitales y financiamiento del terrorismo, las 40 Recomendaciones del GAFI más las 9 anti financiamiento al terrorismo.
Los lineamientos generales necesarios que considere el Superintendente para la aplicación de las normativas emitidas, así como los lineamientos generados por el Instituto Costarricense sobre Drogas.
Adicionalmente, y según se definió en el proceso de conformación del Plan Estratégico de la Gerencia de Riesgos 2016 – 2020 de COOPESERVIDORES en la formulación y generación de su propuesta estratégica, incorporará los mejores consejos y principios de los marcos de referencia internacional y que por importancia relativa generen valor agregado a la Gestión Integral del Riesgo de la cooperativa.
Según lo anteriormente indicado, los principios definidos sobre los que se fundamentará la Gestión Integral de Riesgos de COOPESERVIDORES serán:
Crear y proteger el valor del negocio
Estar integrado en todos los procesos de la Cooperativa
Ser parte de la toma de decisiones
Tratar explícitamente la incertidumbre
Ser sistemática, estructurada y oportuna
Basarse en la mejor información disponible
Alinearse al contexto y perfil de riesgos de la organización
Tener en cuentra los factores humanos y culturales de la entidad
Ser transparente y participativa
Ser dinámica, iterativa y responder a los cambios
Facilitar la mejora contínua
Principios Gestión de Riesgos de
COOPESERVIDORES
III. Principales políticas para la Gestión de Riesgos
En COOPESERVIDORES el principal objetivo que persigue la gestión integral de los riesgos es proteger los intereses de las personas asociadas, así como las demás partes interesadas, al garantizar que las actividades financieras y operativas que realice la cooperativa, estén acordes con los límites establecidos por el Consejo de Administración y la normativa aplicable, de manera que se minimicen las posibles pérdidas potenciales. Con el fin de alcanzar el objetivo anterior, la Gestión de Riesgos de COOPESERVIDORES se ha regido por las siguientes políticas generales aprobadas por el Consejo de Administración y que, adicionalmente, se han comunicado a la totalidad de la cooperativa:
1. El objetivo general de la gestión de riesgos es garantizar que el nivel de riesgo asumido esté acorde con los objetivos de solvencia, estabilidad, solidez y rentabilidad con base en los límites establecidos por el Consejo de Administración.
2. El Consejo de Administración, será el responsable de definir el perfil de riesgo de la Cooperativa y delegará en el Comité de Riesgos el monitoreo de los diferentes riesgos a los que se enfrenta la organización.
3. El Comité de Riesgos es el órgano responsable del monitoreo de todos los riesgos orientado a su sistematización y objetividad, así como al cumplimiento de la normativa aplicable, velando en todo momento porque las transacciones efectuadas se apeguen al perfil de riesgo definido por el Consejo de Administración, de conformidad con los criterios de oportunidad y conveniencia.
4. El Comité de Activos y Pasivos realiza la gestión de los riesgos de mercado mediante la evaluación de las rentabilidades individuales de los productos y las posiciones asumidas, así como la liquidez, desarrollando una gestión proactiva de activos y pasivos con una adecuada planeación del crecimiento y de la estructura del balance.
5. Las diferentes instancias competentes de la Administración deberán responsabilizarse por la gestión y el seguimiento de los riesgos que le correspondan.
6. La Gerencia de Gestión de Riesgos es la encargada de identificar, medir, controlar e informar de los riesgos que enfrenta la Cooperativa en sus operaciones, sea que estos se registren dentro o fuera del balance, así como reportar al Comité de Riesgos sobre la gestión integral con la periodicidad requerida.
7. La Administración superior debe dar seguimiento a la implementación de las recomendaciones emitidas por el Comité de Riesgos.
8. El Consejo de Administración y la Administración Superior deben asegurar que la Gerencia de Gestión de Riesgos, cuente con los recursos necesarios para el desarrollo de sus funciones, teniendo en cuenta para ello la naturaleza, complejidad, volumen
de operaciones y perfil de riesgo de la Cooperativa. Asimismo, debe reportar al máximo órgano los niveles de riesgos asumidos, con la frecuencia que este establezca.
9. La Gerencia de Gestión de Riesgos debe contar con modelos y sistemas de medición y control para los tipos de riesgos identificados en la Cooperativa, que reflejen en forma precisa la sensibilidad de las posiciones a diversos factores de riesgo de conformidad con la normativa vigente y las mejores prácticas.
10. El establecimiento de límites de riesgo debe ser un proceso dinámico que responda al perfil de riesgo de la Cooperativa incorporando la visión de las diferentes áreas de la organización.
11. En materia de riesgo de crédito la orientación de la Cooperativa se mantendrá en el segmento de servidores públicos; no obstante, se podrán establecer créditos con servidores de empresas privadas con los cuales se tengan convenios de deducción directa de planilla, o bien, pago directo en ventanilla.
12. En riesgo de mercado se busca tener una cobertura natural o neutra, minimizando tanto las captaciones como las inversiones en moneda extranjera.
13. En riesgo de liquidez, de manera adicional a la reserva liquidez sugerida por la normativa externa, se han de tomar las acciones para mantener una liquidez adecuada que permita hacer frente a las obligaciones de la Cooperativa en los términos pactados.
14. Respecto del riesgo operativo la Cooperativa evalúa y monitorea de manera periódica su exposición, mediante el sistema de riesgo operativo utilizando un proceso de autoevaluación; también, debe formar las bases de datos necesarias para la aplicación futura de las técnicas estadísticas de carácter cuantitativo.
15. En relación con el riesgo legal, corresponde el Asesor Legal de la Cooperativa la respectiva determinación de probabilidad e impacto y a la Gerencia de Riesgos la cuantificación de la exposición total y determinación estadística basada en estos dos elementos.
16. El riesgo de imagen es monitoreado por el Proceso de Relaciones Corporativas y Sostenibilidad y administrado por la Gerencia General.
17. La Auditoría Interna como órgano de control interno, tiene a su cargo la labor de evaluar y dar seguimiento al proceso de administración integral de riesgos.
18. El desarrollo, implementación y funcionamiento de la administración de riesgos en la Cooperativa, debe ser evaluado anualmente por un experto independiente, inscrito en el registro de auditores elegibles de la SUGEF.
19. La evaluación de los riesgos de los procesos de tecnología de información debe ser actualizada como mínimo anualmente, además de manera periódica debe realizarse
una revisión externa e independiente de los controles de los sistemas informáticos para determinar su calidad y cumplimiento.
20. Debe realizarse por parte de todos los Procesos y Sucursales de la cooperativa, al menos en forma anual, un proceso de actualización y auto-diagnóstico del mapa de riesgos a que se ven expuestos. Los nuevos riesgos identificados deben evaluarse en función de su probabilidad e impacto, en concordancia con los aspectos establecidos en la Política y Metodología de riesgo operacional aprobadas por el consejo. Corresponderá al proceso de Gestión de Riesgos, la coordinación de dicha autoevaluación.
En lo que respecta a la gestión del riesgo de legitimación de capitales y financiamiento al
terrorismo, COOPESERVIDORES se ha regido por las siguientes políticas aprobadas por el
Consejo de Administración:
Política Conozca a su Cliente: establece las consideraciones para identificar a los
asociados y sus principales características cualitativas y cuantitativas, así como los
pilares fundamentales de su accionar como lo son el origen de fondos o actividad
económica y su perfil transaccional esperado, con lo cual se alimentan las matrices
de riesgo utilizadas para su clasificación de acuerdo a su nivel riesgo ya sea alto,
medio o bajo.
Política Conozca a su Cliente para las empresas constructoras relacionadas a los
bonos del BANHVI, estos lineamientos buscan valorar y otorgar un nivel de certeza
razonable sobre la actividades económicas y orígenes de los fondos de este tipo de
entidad.
Política Conozca a su Empleado: análisis que se aplica a los colaboradores en
relación con el perfil laboral específico, su nivel de endeudamiento y su nivel de
vida a fin de determinar factores o personas en riesgo y establecer las acciones
preventivas.
Política Conozca a su proveedor y socios comerciales: al igual que con las
empresas constructoras se aplican evaluaciones a fin de otorgar un criterio de
razonabilidad sobre las actividades económicas y orígenes de los fondos y su
vinculación con la cooperativa.
IV. Avances en la Gestión de Riesgos
La gestión prudente de los riesgos es una actividad diaria, cuya razón de ser ha sido lograr
un marco que equilibra la consecución de las metas de rentabilidad, respecto al Perfil de
Riesgo definido por el Consejo de Administración, para generar un modelo que establece
las condiciones para que el diseño de los productos y servicios ofertados, permita crecer
con calidad y ordenadamente, sin dejar de lado la competitividad esperada en el sector en
que se desempeña la Cooperativa.
De manera general, es importante recalcar que en el año 2016, dentro del proceso de
definición del Plan Estratégico de la Cooperativa para el período 2016-2020, se agregó
como cuarto pilar estratégico para COOPESERVIDORES un pilar relacionado con la gestión
de riesgos, de forma que queda claramente establecido como un tema estratégico y que,
por tanto, compete a la totalidad de la organización; la adecuada gestión de los riesgos.
Esto en alineamiento con lo definido por las mejores prácticas y estándares locales e
internacionales sobre la adecuada gestión de los riesgos.
Seguidamente se brinda un resumen de las acciones y avances más relevantes obtenidos
durante el 2016 para cada uno de los riesgos gestionados.
Riesgos Financieros
Riesgo de Crédito
De forma mensual, se realizó seguimiento a los indicadores principales de morosidad,
cobertura, recuperación y pérdida.
La gestión de riesgo dio seguimiento a los sectores con mayor exposición al
incumplimiento de pago, análisis de criterios para determinar el estado de los créditos
otorgados por cada sucursal.
Se emplearon modelos que permitieron estimar con un razonable grado de certeza el
comportamiento de las siguientes variables:
1. Probabilidad de pago de la cartera total.
2. Probabilidad de pago de las líneas de crédito con mayor concentración.
3. Morosidad (total, mayor a 90 días y pérdida esperada).
Para el último trimestre, se comenzó a realizar el siguiente análisis de forma mensual:
1. Morosidad y comportamiento de la probabilidad de pago de las operaciones que
corresponden a tarjetas de crédito y banca para el desarrollo.
2. Nuevas colocaciones y operaciones canceladas para el mes.
Además, se veló por el cumplimiento de las normas aplicables emitidas por la SUGEF y en
la adaptación de las nuevas especificaciones regulatorias relacionadas con la gestión del
riesgo de crédito.
Riesgo de mercado -Tasas de interés y tipo de cambio-
Se realizó un seguimiento trimestral a los indicadores de la SUGEF en la ficha CAMELS -
Capital, Activos, Manejo gerencial, Estado de utilidades y Liquidez-, permitiendo comparar
los resultados de la Cooperativa -Calificación cualitativa obtenida y suficiencia patrimonial-
versus los diferentes sectores financieros, con la finalidad de identificar oportunidades de
mejora.
Se inició un proceso de culturización basados en el estándar ISO 31000, a todos los
procesos de la Cooperativa y en especial a los involucrados en estos riesgos para iniciar
una adecuada gestión de estos, así como el traslado paulatino de la administración y
gestión de los riesgos financieros a los procesos responsables de estos dentro de
COOPESERVIDORES. Lo anterior a la luz de lo sugerido por las mejores prácticas
internacionales, en relación con las responsabilidades que, en la gestión de riesgos de la
entidad deben tener las diferentes líneas de defensa de la organización.
Por otra parte, se realizaron informes mensuales de concentración de carteras de activos y
pasivos, así como de riesgo de mercado (Posición en moneda extranjera, volatilidad del
tipo de cambio, patrimonio en riesgo, variación en el tipo de cambio y tasas de interés del
mercado, para evaluar los diferentes escenarios de estrés.
Riesgo de Liquidez y concentración
Se realizó una sistematización en los indicadores de riesgos, Calce de plazos, Índice de
Concentración de Liquidez ICL, límite de concentración por emisor y nivel de dolarización
para contar con información diaria que permita a los órganos de Gobierno Corporativo
una toma de decisiones adecuada y oportuna.
Se realizaron modificaciones en los informes mensuales de los riesgos de liquidez, de
manera que estos fuesen más sintéticos y con la información relevante para el
seguimiento, monitoreo y para la toma de decisiones relacionadas con la gestión de este
riesgo.
Riesgos Operacionales
Riesgo Operativo
Se adoptó los principios del estándar ISO 31000, COSO ERM, e ISO 9001 versión 2015 -
Basada en riesgos-, así como la Normativa de Riesgo Operativo aprobada en mayo 2016
por la Superintendencia General de Entidades Financieras de Costa Rica -Sugef-. Dado lo
anterior se puede afirmar, que la Gestión de Riesgo Operativo de COOPESERVIDORES
cumple con la normativa local vigente, y se dirige hacia la adopción y alineación con las
mejores prácticas internacionales.
Se consolidó y certificó la figura del Gestor de Riesgo Operacional, para contar en este
momento con 55 colaboradores debidamente capacitados que, adicional a su función
diaria en la Cooperativa, actúan con pro actividad y entusiasmo, siendo un enlace entre las
Áreas Funcionales y el Proceso de Gestión de Riesgo para canalizar la Identificación,
Análisis, Valoración, Tratamiento y Reporte diario de eventos que de materializarse
podrían incidir en la consecución de los objetivos de la institución
La cultura es un elemento de suma importancia en la Cooperativa, es por ello que en el
2016 se logró una profundización del 100% mediante la utilización de medios tecnológicos
para divulgar y capacitar sobre los principios que rigen el actuar de la entidad en relación
con la Gestión del Riesgo Operacional.
Riesgo Ambiental
Para el 2016 COOPESERVIDORES realizó esfuerzos para incorporar en sus análisis de
crédito, una herramienta que valora previamente la viabilidad del otorgamiento de
préstamos en relación con el cumplimiento de diferentes requisitos Socio-Ambientales
que permitan prevenir los impactos negativos, para de esa forma contar con un nivel alto
de certeza de que los recursos brindados a nuestros asociados coadyuvan al
mejoramiento del medio ambiente.
Riesgo Reputacional
Proteger la reputación de la Cooperativa, así como la de sus asociados, es una labor
constante en COOPESERVIDORES.
En línea con lo anterior, el 2016 ha permitido incorporar a la metodología de Gestión de
Riesgo Operativo, el componente de Riesgo Reputacional con el objeto de Identificar,
Analizar, Valorar y Tratar, todos aquellos eventos que de materializarse podrían en alguna
medida lesionar la percepción que nuestros grupos de interés poseen sobre la forma
como COOPESERVIDORES actúa.
Riesgo Legal
En 2016 se consolidó el esquema de seguimiento legal con que cuenta la Cooperativa,
permitiendo ejercer un adecuado control sobre aquellos asuntos que pudiesen
desencadenar algún tipo de litigio, siempre con la oportuna asesoría profesional
especializada en esta materia.
Riesgo de legitimación
Durante el 2016 se desarrollaron tareas muy importantes para la gestión oportuna de este
riesgo:
La inclusión de una mayor cantidad de criterios cualitativos dentro de la matriz de riesgo
de clientes, lo que viene a propiciar mayor información para que en el momento de la
categorización de riesgos de cada asociado, podamos conocer temas tales como su origen
de fondos y la relación que este tiene con su categoría asignada.
Dentro del sistema de monitoreo, específicamente en el módulo de alertas se ingresan
nuevos tipos para poder mapear mayores actividades de mayor riesgo tales como las
transferencias.
Fortalecimiento de las política Conozca a su cliente, en el tema específico de asociados
inversionistas cuya permanencia en la entidad se valora mediante el cumplimiento de
todos los requerimientos necesarios para validar sus actividades económicas y su origen
de fondos.
Riesgos de Tecnologías de Información (TI)
COOPESERVIDORES no desestima en ningún momento el impacto que el desarrollo
tecnológico tiene sobre la forma de hacer las cosas, de tal manera que asumir nuevos
retos en función al crecimiento del negocio, sea una labor cotidiana y debidamente
planificada.
Para el 2016 COOPESERVIDORES ajustó sus metodologías de Riesgo Tecnológico
oportunamente en función de los cambios que la Sugef dictó.
En complemento a lo anterior, se trabajó en fortalecer las competencias de los
colaboradores en el área de la Seguridad de la Información, mediante capacitaciones
sobre estándares internacionales y la normativa local vigente.
V. Metodologías de medición y evaluación de los riesgos
Una de las etapas fundamentales dentro de la Gestión Integral de Riesgos que desarrolla
COOPESERVIDORES se relaciona con la medición y evaluación de los diferentes riesgos
objeto de gestión de la cooperativa. Por tanto, la entidad cuenta con una serie de
metodologías y modelos que permiten monitorear periódicamente el estado de la
Cooperativa en lo que a su nivel de exposición respecta.
A continuación se describen las metodologías que posee COOPESERVIDORES para la
medición de sus principales riesgos.
Riesgo de Crédito
Matrices de transición: constituye una matriz que permite determinar la
probabilidad de que un asociado prestatario, con una determinada calificación de
riesgo o en un determinado rango de morosidad, se mantenga en esa calificación o
migre hacia otra calificación, o en su defecto, la operación asociada al prestatario
haya sido cancelada. De esta manera, es posible determinar la transición de la
cartera, a una fecha específica, un año después de haberse constituido, siendo
posible identificar mejoras o desmejoras en los rangos de mora o calificación
crediticia de una operación.
Transición rango de mora: corresponde a un indicador resultante de la matriz de
transición a través del cual es posible determinar los saldos de operaciones
trasladados a rangos de mayor atraso. Este es un indicador de base probabilística.
Transición calificación de riesgo: corresponde a un indicador también resultante de
la matriz de transición con el que se obtiene el comportamiento de los saldos de
operaciones trasladadas a categorías de mayor riesgo. Al igual que el anterior, es
un indicador de base probabilística.
Curva de deterioro: constituye un modelo que permite monitorear mensualmente
la morosidad de la cartera crediticia, según la antigüedad (fecha de colocación) de
esta. El modelo supone que la evolución futura de la morosidad, se puede estimar
a partir de su comportamiento en el pasado.
Modelo beta para probabilidad de pago: este modelo permite estimar la pérdida
esperada, pérdida no esperada y el valor en riesgo de la cartera. Además, posibilita
la obtención de la probabilidad de cumplimiento con base en una distribución de
densidad de pérdidas determinada.
Análisis de la morosidad: constituye la generación periódica de una serie de
indicadores que permiten monitorear el comportamiento de la cartera crediticia
constituida. Dentro de los principales que se analizan se encuentran: indicador de
morosidad simple total, morosidad contagiada, morosidad por cosecha, morosidad
mayor a 90 días e indicador de pérdida esperada, entre otros.
Ruta de la mora simple: este modelo permite visualizar, de manera gráfica a través
de un árbol de decisión, la distribución de la morosidad, de forma que se
determine la mayor incidencia en concentración de la mora según sector (público o
privado), tipo de pago (planilla o ventanilla), rango de atraso (30, 60, 90 días o
más) e institución.
Modelo de 5 factores por sucursal: es un modelo que mide el promedio del
cumplimiento de 5 factores en relación con parámetros internos establecidos por
la Administración para cada uno de ellos que cada sucursal debe cumplir.
Es importante mencionar que se inició un proceso de implementación de los siguientes
modelos:
Scoring de crédito (calificación): constituye un modelo que genera una calificación
de riesgo sea por operación o por cliente, a través de un esquema de consenso
ante la calificación resultante de tres métodos de probabilidad binaria, los cuales
toman las variables sociodemográficas de cada cliente y generan un resultado para
cada uno de ellos. Con eso será posible determinar la probabilidad de
cumplimiento tanto de la cartera total, como por cliente y por operación, con lo
que se tendrá el insumo para el cálculo interno de la pérdida esperada.
Scoring de crédito (otorgamiento): es un modelo que parte de los resultados del
scoring de calificación para establecer una calificación de riesgo al nuevo cliente
solicitante de crédito además de posibilitar el cálculo de la probabilidad de
incumplimiento de dicho cliente. Este modelo constituirá una herramienta
estadística de apoyo para la toma de decisiones en el otorgamiento de nuevos
créditos.
Riesgo de Mercado
En lo que respecta a riesgos de mercado, se tienen modelos y metodologías que permiten
monitorear el comportamiento de cada uno de los factores de riesgo que pudiesen
generar la materialización de algún riesgo de mercado. Dichos factores son: tasas de
interés y tipo de cambio.
Sensibilidad del patrimonio a tasas de interés: es un modelo que establece el
impacto en el valor patrimonial de la Cooperativa ante cambios en las tasas de
interés del mercado. El modelo permite, entonces, determinar el patrimonio en
riesgo de la entidad de forma que se pueda dimensionar el capital o provisiones
requeridas para cubrir pérdidas esperadas y no esperadas a nivel patrimonial por
exposición al riesgo de tasas de interés.
Posición neta en moneda extranjera: este modelo permite monitorear el nivel de
exposición de COOPESERVIDORES al riesgo cambiario, a través del seguimiento
periódico de la posición neta en moneda extranjera, entendida como la diferencia
entre las posiciones activas y pasivas en la moneda para la cual se hace el análisis
de exposición. Partiendo de la posición para cada período evaluado, se realizan
además escenarios de sensibilización con el fin de determinar eventuales pérdidas
experimentadas por la entidad ante cambios significativos en el tipo de cambio.
Valor en riesgo del patrimonio por exposición al riesgo de cambio: es un modelo
que parte de la determinación de la posición neta en moneda extranjera. El valor
de esta posición se multiplica por la máxima variación esperada del tipo de cambio
para un período específico, determinándose entonces, la máxima pérdida probable
de valor patrimonial ante variaciones del tipo de cambio (patrimonio en riesgo por
exposición a variaciones del tipo de cambio).
Valor en riesgo de la cartera de inversiones: a través del VaR de la cartera de
inversiones, se determina la máxima pérdida (dado un nivel de confianza) que
podría experimentar la cooperativa en un período determinado, ante cambios en
los factores de riesgo que puedan impactar el valor de mercado de los
instrumentos que conforman dicha cartera.
Para riesgo de mercado, se inició en el 2016 el proceso de implementación del siguiente
modelo:
Margen financiero en riesgo: constituye un modelo en el que, a partir de la
distribución de los activos y pasivos de la cooperativa según sus fechas de
vencimiento (y probables renovaciones), se mide el impacto que podría darse
sobre el margen financiero de la entidad, ante cambios en las tasas de interés de
mercado.
Riesgo de Liquidez
Para la gestión de riesgos de liquidez, COOPESERVIDORES cuenta con los siguientes
métodos de medición y evaluación.
Índices de calce de plazos a uno y tres meses: mediante estos índices, establecidos
a nivel normativo, se brinda seguimiento a la capacidad de la entidad para poder
atender el vencimiento estimado de sus obligaciones en los períodos de uno y tres
meses respectivamente. Para ello, se analiza el calce entre los activos que se
recuperarán y los pasivos que vencerán en las bandas de tiempo ya mencionadas
(1 y 3 meses). Estos indicadores también se calculan por moneda.
Índice de cobertura de liquidez: constituye otro indicador de carácter normativo, a
través del cual se monitorea diariamente la capacidad de los activos líquidos de la
cooperativa para cubrir la diferencia entre salidas y entradas totales de efectivo.
Riesgo Operacional
La metodología para la Gestión de Riesgo Operacional de COOPESERVIDORES cuenta con
todo el respaldo de la Alta Dirección y está basada en las mejores prácticas
internacionales y en la normativa local vigente, a saber: COSO ERM, Acuerdos de Basilea,
normas ISO 9001 e ISO 31000, Acuerdos Sugef 2-10 y Sugef 18-16.
De lo anterior se desprende una estrategia que comprende un marco o proceso en el cual
los riesgos operacionales deben atravesar por las siguientes etapas:
Identificación
Medición y evaluación
Control y mitigación
Monitoreo e información
Dicha estrategia es a su vez parte de la planeación estratégica del Proceso de Gestión de
Riesgos y se basa en cuatro ejes básicos, como son:
Aprendizaje y crecimiento: Fortalecer la Gestión del Riesgo mediante un proceso
de sensibilización y capacitación continua al personal.
Procesos internos: Incorporar a la Gestión de Riesgos de COOPESERVIDORES
aquellos principios, consejos y técnicas sugeridas por marcos de referencia
internacional que sean factibles, cumplan con la normativa local, actualicen y
generen valor.
Partes interesadas: Facilitar información de los Riesgos más relevantes a las partes
interesadas pertinentes, de manera oportuna, eficiente, eficaz y de calidad, con el
fin de asistirles en su toma de decisiones.
Gestión: Implementar un modelo de Gestión de Riesgos basado en los estándares
COSO ERM, BASILEA, ISO 31000 e ISO 9001
El proceso de Gestión del Riesgo Operacional se fortalece en la pro actividad de cada uno
de los colaboradores que diariamente ejecutan las actividades productivas de la
Cooperativa, que es reforzada constantemente por medio de capacitaciones, encuentros
técnicos, cápsulas informativas e inclusive a través del contacto directo y asertivo de
nuestros Analistas de Riesgo cuando se requiera una asesoría personalizada y de primera
mano.
Dicha metodología se basa en cuatro principios básicos, como lo son:
1. Propiedad descentralizada de los Riesgos Operacionales, con responsabilidad
directa de los dueños de proceso. Esto por cuanto dichos riesgos se materializan
directamente en las áreas funcionales.
2. Coordinación y seguimiento general por parte del Proceso de Gestión de Riesgos,
con base en un equipo de Analistas de Riesgos expertos en la materia.
3. Evaluación independiente por parte de las Auditorías Interna y Externa.
4. Supervisión independiente de la ejecución por parte del Comité de Riesgos.
La operativización de la estrategia se realiza por medio de la figura del Gestor de Riesgo
Operacional que es un colaborador seleccionado para servir como enlace entre las áreas
funcionales y el Proceso de Gestión de Riesgos y que cuenta con funciones adicionales
orientadas a lograr la mejor Gestión posible de los Riesgos Operacionales.
Por último, no se omite el valor que en este proceso tiene el cumplimiento de nuestras
obligaciones para con el regulador, por tanto, se ha establecido una serie de actividades,
debidamente calendarizadas para el adecuado cumplimiento de las obligaciones de la
Cooperativa en el plano regulatorio.
Riesgo Legitimación
La gestión de riesgo LC/FT cuenta con una metodología para la clasificación de asociados
de acuerdo a su nivel de riesgo. Dicha metodología es amparada en lo requerido por las
sanas prácticas internacionales así como lo establecido en el Acuerdo SUGEF 12-10.
La metodología contempla 5 matrices a saber: Clientes, productos y servicios,
transaccionalidad y canales de distribución y zona geográfica, cada una de estas cuenta
con factores y subfactores y a su vez con calificaciones cuantitativas de acuerdo a su nivel
de riesgo.
A partir de estas clasificaciones es que se aplican las medidas de debida diligencia
reforzada.
Riesgo de Tecnologías de Información (TI)
La metodología para la gestión de riesgos tecnológicos de la cooperativa está basada en la
norma ISO 31000, la cual es una norma internacional para la Gestión de Riesgos, que
permite mejorar las técnicas de gestión y garantizar la seguridad y protección de las
tecnologías de información y en general para cualquier proceso de la entidad. La ejecución
de una adecuada gestión integral del riesgo conduce a que los dueños de los procesos
sean los responsables de la administración de los riesgos asociados a su proceso,
apoyados en esta tarea por el proceso de Gestión de Riesgos.
De esta forma se realiza la identificación y evaluación de riesgos tecnológicos, inherentes
y residuales, previo a la implementación de nuevas aplicaciones, sistemas informáticos,
productos y/o servicios, así como cambios significativos en los recursos TI., y que
representen un impacto potencial sobre los objetivos o las operaciones de la Cooperativa,
incluyendo aspectos de negocio, regulatorios, legales, tecnológicos, sobre socios
comerciales, sobre recursos humanos y operacionales, para posteriormente darle el
respectivo tratamiento de ser necesario y de acuerdo al apetito de riesgo definido por la
organización.
Es importante destacar además, que la metodología está basada en el marco de referencia
de COBIT 5 y en la normativa SUGEF 14-09, permitiendo de esta forma gestionar los
riesgos relacionados con la gobernanza de las tecnologías de información y de acuerdo a
los diferentes procesos definidos en este marco.
VI. Acciones de mitigación y control
COOPEERVIDORES ha asumido responsablemente el reto de lograr la mejora continua en
todos sus procesos. De lo anterior se desprende el actual esquema, mediante el cual se
integra la Oficialía de Control Interno, misma que está encargada de dar seguimiento a la
implantación de cada uno de los planes de acción que surgen como producto de las
revisiones ejecutadas por cada uno de los órganos de control existentes, tanto a nivel
interno como externo.
Específicamente en el caso del riesgo de legitimación de capitales y financiamiento del
terrorismo (LC/FT) es un aliado muy importante ya que constituye el apoyo para el
seguimiento y cumplimiento de los requerimientos de las revisiones anuales que ejecuta
la Auditoría Interna y la Auditoria Externa de acuerdo a lo establecido en el artículo no. 37
del Acuerdo SUGEF 12-10.
Dichos planes de acción son diseñados con el objetivo de fortalecer la estructura de
Control Interno y persiguen establecer las medidas pertinentes y acordes a un esquema
de costo y beneficio que garanticen una mezcla equitativa entre el riesgo y la rentabilidad,
sin dejar de lado la competitividad que la Cooperativa se ha trazado alcanzar a lo largo de
su vida.
VII. Logros alcanzados
El proceso de Gestión de Riesgos de la cooperativa inició en el 2016, la ejecución de las
actividades definidas en su plan táctico de trabajo, de cara al cumplimiento de los
objetivos trazados en el plan estratégico de la Unidad de Riesgos 2016-2020. Cada
actividad desarrollada aportó en el cumplimiento del avance propuesto, de cara al
alineamiento que se proyecta para el año 2020, de la gestión de riesgos de la cooperativa
con la normativa interna y con las mejores prácticas locales e internacionales en lo
concerniente a la gestión integral de sus riesgos relevantes. De manera particular, a
continuación se resumen los logros alcanzados a diciembre del 2016 por cada tipo de
riesgo.
Riesgos Financieros
Se implementaron nuevos modelos para el análisis, monitoreo y seguimiento de riesgos
financieros, específicamente, de riesgos tasas de interés y de tipo de cambio. De esta
forma, la entidad posee nuevas herramientas para la gestión de los riesgos mencionados.
Vale destacar que la investigación, análisis e implementación a lo interno de nuevas y
mejores metodologías, herramientas y modelos constituye una tarea continua y constante
para la Unidad de Riesgos de COOPESERVIDORES.
Se inició el proceso de normalización de la gestión de los riesgos financieros, con el
objetivo de alinear el proceso de gestión de dichos riesgos con las prácticas y principios
definidos en los estándares ISO 31000 e ISO 9001 2015.
Se inició un proceso de sensibilización y capacitación a toda la entidad en lo concerniente
a la Gestión de Riesgos y, de manera particular, sobre riesgos financieros, de forma que
los diferentes niveles organizacionales conozcan y se familiaricen con las metodologías,
herramientas y procesos con los que dispone la cooperativa para gestionar estos riesgos y,
fundamentalmente, la responsabilidad y rol que cada área desempeña en dicho proceso
de gestión. Adicionalmente, y en línea con el objetivo de sensibilización y culturización de
la cooperativa, se fortaleció la estrategia de acercamiento, colaboración y asesoría con
aquellos procesos dueños de los riesgos financieros de la entidad, a la luz de lo establecido
en la normas (internas y externas) y en las mejores prácticas, en relación con el papel que
debe desempeñar, en la Gestión Integral de Riesgos cada una de las diferentes áreas
funcionales de la organización.
En relación con la etapa de comunicación y consulta del proceso de gestión del riesgo, se
dio inicio con una redefinición de la información y datos relevantes para la toma de
decisiones oportunas, así como la implementación de una herramienta que, de manera
automática y en menor tiempo, permita a las distintas partes interesadas identificadas,
tener a disponibilidad y de forma oportuna e íntegra la información mencionada.
Riesgos Operacionales
Como parte de los logros más relevantes el Proceso de Gestión de Riesgos desarrolló la
primera fase del plan estratégico de Riesgos, con lo cual se ha reforzado la cultura de
Riesgos de la institución, de la siguiente forma:
Se capacitó de forma virtual al 100% de la Cooperativa, utilizando para ello lo que a lo
interno se conoce como encuentros técnicos y de excelencia, que son foros en los cuales
se discuten tópicos de interés para la cultura de COOPESERVIDORES.
Se nombró y capacitó a 55 colaboradores en la función del Gestor de Riesgo Operacional.
Esto de forma presencial in situ, para lo cual se establecieron sedes de reunión y se
coordinó un equipo instructor seleccionado del propio proceso de Gestión de Riesgos de
la Cooperativa.
Se aprobó la más reciente actualización de la Metodología para la Gestión de Riesgo
Operacional, basada en las mejores prácticas internacionales y la normativa local vigente.
Se coordinó la elaboración y envío del cronograma para el cumplimiento del Acuerdo
Sugef 18-16 para la Gestión de Riesgo Operacional, en observancia al Transitorio 1 de
dicha normativa. Por último, se avanzó en la selección e implantación de una solución
informática para futura automatización de la Gestión del Riesgo Operacional y de TI en la
Cooperativa.
En lo que concierne específicamente al riesgo de legitimación de capitales y
financiamiento del terrorismo (LC/FT), se pueden citar los siguientes logros:
Establecimiento de la política para la valoración de la permanencia de asociados
inversionistas que no realizan la actualización de la información y datos sensibles.
En coordinación con la Gerencia de Riesgos y un asesor experto, se desarrolló una
metodología para la valoración institucional del riesgo de LC/FT de manera tal que
se pueda acoplar con el sistema de monitoreo SIGCNO.
Fortalecimiento de la estructura de la Oficialía de Cumplimiento lo que permite la
administración de tareas de manera más oportuna y eficiente.
Mejoras importantes en el sistema de monitoreo y alertas, en el cual se incluyen
nuevos reportes denominados por concentración que nos brinda como valor,
conocer cuales sucursales agrupan la mayor cantidad de inversionistas, ahorros,
entre otros, y poder cruzar la información para favorecer la generación de
controles y la toma oportuna de decisiones.
Riesgos de Tecnologías de Información (TI)
Dentro de los logros obtenidos en el año 2016 por parte del Proceso de Gestión de Riesgo
en el área de las tecnologías de información, destaca:
La implementación de una solución informática para la automatización de la Gestión del
Riesgo Tecnológico, la cual va a permitir mejorar la gestión y comunicación de los riesgos.
Se inició un proceso de sensibilización y capacitación al área de TI de forma que los
colaboradores de esta área funcional conozcan y se familiaricen con la metodología,
herramientas y procesos con los que dispone la cooperativa para gestionar estos riesgos,
así como la responsabilidad y rol que cada uno desempeña en dicho proceso de gestión.
Lo anterior con el fin de que todo cambio significativo o proyecto tecnológico involucre la
debida gestión de riesgos.
Se realizó el levantamiento de la matriz de riesgos tecnológicos alineada con los procesos
de COBIT 5 y se coordinó la elaboración y envío del cronograma para el cumplimiento del
Acuerdo SUGEF 18-16 para la Gestión de Riesgo Tecnológico y de seguridad de la
información.